Conferencia RSA: McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas

11 marzo, 2019
24 Compartido 1,132 Visualizaciones

McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas. ¿Cómo pueden protegerse las empresas?

McAfee anunció  durante la conferencia RSA, que tuvo lugar en San Francisco (California), el descubrimiento de conocimientos técnicos inusuales y pruebas que vinculan al actor del estado-nación de Corea del Norte, Lazarus Group, con la campaña de ciberespionaje dirigida a organizaciones de defensa, gobierno, energía e infraestructuras críticas de todo el mundo en diciembre de 2018 y que aún continúa.

Principalmente, la técnica empleada eran los correos electrónicos de spearphishing, un método poco común y poco avanzado, que simula procesos de trabajo de forma muy convincente para obtener acceso a los sistemas.

Grant Bourzikas, Chief Information Security Officer en McAfee, ofrece su opinión de experto sobre cómo las empresas pueden protegerse ante este tipo de ataques: “Seguimos viendo a los cibercriminales utilizar spearphishing y otras técnicas de ingeniería social para infiltrarse entre sus objetivos con alto grado de éxito. Como CISO considero que es imprescindible que las organizaciones tomen nota de estos métodos y adopten una estrategia dual con soluciones de protección de correo electrónico avanzadas y formación a los empleados para defenderse de ataques cada vez más sofisticados y proteger su infraestructura interna”.

Principales conclusiones:

El proceso de atribución

En cualquier investigación de ciberseguridad el proceso de atribución es crítico para entender las campañas de ataque y sus implicaciones. Sin embargo, a veces no hay suficientes evidencias para identificar quien está detrás de un ataque. Una atribución errónea puede tener también importantes consecuencias, por lo que este proceso no debe tomarse a la ligera.

Hasta ahora el equipo de investigación de amenazas de McAfee (Advanced Threat Research) no contaba con suficientes evidencias técnicas para atribuir estos ataques a Lazarus. Ahora, sin embargo, gracias al acceso que ha tenido McAfee a los datos en los servidores de control incautados que usaban los adversarios, ya no cabe ninguna duda.

Los datos de comando y control fueron proporcionados a McAfee para su análisis por parte de una entidad gubernamental que está familiarizada con la investigación publicada por McAfee sobre esta campaña de malware.

Nuevos objetivos

Las conexiones entre Lazarus y la Operación Sharpshooter se consolidan con evidencia técnica a medida que esta campaña global continúa afectando a sectores clave.

Cuando McAfee descubrió la Operación Sharpshooter en diciembre de 2018, existían posibles vínculos con el grupo Lazarus, pero no suficientes conexiones técnicas para atribuir la campaña con confianza. La nueva evidencia ahora muestra indicadores técnicos y procedimientos que se solapan entre los dos.

La Operación Sharpshooter parece que comenzó en septiembre de 2017, lo que extiende la campaña aproximadamente un año más de lo que la evidencia previa sugería. La presunta campaña de reconocimiento de datos también se ha orientado hacia nuevos objetivos, que ahora se centran en las finanzas, el gobierno y las infraestructuras críticas en todo el mundo, principalmente en Alemania, Turquía, Reino Unido y Estados Unidos

Los actores, principalmente, aprovecharon los correos electrónicos de spearphishing, simulando procesos de trabajo de forma muy convincente, para obtener acceso a los sistemas. Se trata de una técnica ordinaria y no avanzada que tuvo un gran éxito al permitir a Lazarus infiltrarse en las principales organizaciones en industrias como el gobierno y las finanzas.

Conexiones con África

El análisis del código del servidor de comando y control y los registros de archivos descubrieron un bloque de red de direcciones IP originadas en la ciudad de Windhoek en Namibia, África, lo que lleva a McAfee a creer que Lazarus está probando implantes en la región antes de realizar ataques más amplios .

Te podría interesar

La operadora de telefonía móvil Turkcell impulsa la innovación de servicios digitales
Cloud
18 compartido2,067 visualizaciones
Cloud
18 compartido2,067 visualizaciones

La operadora de telefonía móvil Turkcell impulsa la innovación de servicios digitales

Mónica Gallego - 14 febrero, 2019

Red Hat ayuda a Turkcell a colaborar con múltiples fabricantes de virtualización, a lanzar nuevos servicios hasta 3 veces más…

En la Nube, ¿sabemos gestionar una brecha de seguridad?
Eventos
24 compartido965 visualizaciones
Eventos
24 compartido965 visualizaciones

En la Nube, ¿sabemos gestionar una brecha de seguridad?

Vicente Ramírez - 23 noviembre, 2018

ISMS Forum Spain se complace en invitarle al Octavo Encuentro Anual de Cloud Security Alliance (CSA ES), para profesionales de…

Expertos de diferentes ámbitos debaten en 12ENISE cómo avanzar en ciberseguridad
Actualidad
35 compartido1,376 visualizaciones
Actualidad
35 compartido1,376 visualizaciones

Expertos de diferentes ámbitos debaten en 12ENISE cómo avanzar en ciberseguridad

Vicente Ramírez - 26 octubre, 2018

Los ponentes han hablado de la estrategia a nivel nacional, la colaboración internacional y de la necesidad de una legislación…

Deje un comentario

Su email no será publicado